Infections: Protéger sa clé USB

Les supports amovibles sont encore aujourd’hui un moyen d’infection largement utilisé par les programmes indésirables. Les menaces actuelles sont souvent polymorphes, et utilisent en effet tous les canaux de propagation. Ainsi,  après utilisation d’une clé USB sur des postes publics ou mal entretenus, il n’est pas rare d’y découvrir quel-qu’exécutables supplémentaires. Que faire lorsque l’on est amené à utiliser régulièrement un poste infecté dont nous n’avons pas la tâche d’administration? A défaut de pouvoir intervenir sur le poste, il s’agit ici de protéger au mieux son périphérique. L’éditeur d’antivirus TrustPort a d’ailleurs ciblé ce besoin avec une solution payante (TrustPort Antivirus USB).

/! Les solutions suivantes ne sont pas en mesure de prévenir d’un éventuel vol de données. Ce qui peut être lu, peut être copié. Si des données importantes sont stockés sur le média, il convient de les chiffrer avec un logiciel tel que TrueCrypt (TrueCrypt Portable Mode).

IEmpécher l’écriture d’un fichier
Le fichier « autorun.inf », très utilisé par les virus, est aujourd’hui bloqué par la plupart des logiciels antivirus, et n’est plus automatiquement chargé sous Windows à partir de Windows Xp SP3 (KB971029). Empêcher sa création est tout de même conseillé.

Méthode:
– Création d’un répertoire nommé « autorun.inf » avec les attributs « caché », « système » et « lecture seule ». Ainsi nommé il empêchera l’existence d’un fichier homonyme.
– Création d’un fichier utilisant un nom réservés par Windows. Placé à l’intérieur du répertoire autorun.inf, il verrouille plus efficacement sa suppression.
Source

En admettant que F soit la lettre assignée au lecteur concerné:

mkdir F:autorun.inf
attrib.exe +r +s +h F:autorun.inf  # paramètre "r" pour lecture seule, "s" pour système, et "h" pour caché
type nul > "\?f:autorun.infnul.autorun"

La mesure ci-dessus empêche toute exécution automatique liée au lecteur, mais elle n’empêche pas l’installation des exécutables vérolés. Si l’on connait le type d’infection dont est sujet le poste, la même méthode permettra de s’en protéger. C’est ce que fait certains programmes de « vaccination de support amovible », en utilisant le nom des programmes infectieux les plus courants.

Exemple avec le cheval de Troie
TR/PSW.Magania.dbwz:
Agissements à l’encontre d’un périphérique de masse connecté: Installation d’un fichier « autorun.inf » et d’un exécutable nommé « dqm.exe ».

En admettant que F soit la lettre assignée au lecteur concerné:

mkdir F:dqm.exe
attrib.exe +r +s +h F:dqm.exe
type nul > "\?f:dqm.exenul.psw.magania"

IIProgramme d’auto-désinfection
Il serait lourd et même difficile de filtrer efficacement ce qui doit ou ne doit pas être écris sur la clé. La méthode ici proposée est donc de désinfecter puis démonter le système de fichier après utilisation faite. On utilisera pour cela un script automatisant les opérations

Logiciels utilisés:
Sysclean de TrendMicro: Un scanneur antiviral utilisable en ligne de commande. Gratuit, il  utilise les signatures à jour de l’éditeur.
RemoveDrive 2.0: Un outil gratuit en ligne de commande permettant de « démonter » un périphérique amovible sous MS-DOS

aInstallation rapide:

  1. Télécharger et extraire l’archive Clean&Escape.zip à la racine du disque amovible
  2. Télécharger les dernières signatures en date et les placer dans le répertoire « usbin » du disque amovible.

Après utilisation sur un poste à risque, il suffira de lancer le script Clean&Escape.exe pour désinfecter puis démonter proprement la clé USB.

bInstallation manuelle:
Dans son fonctionnement normal, Sysclean s’auto-extrait par sécurité à chaque lancement. Pour une utilisation sur clé USB, ces fichiers seront extrait définitivement afin d’optimiser les temps d’exécution.

  1. Télécharger Sysclean et extraire le contenu de l’archive dans un répertoire temporaire
  2. Lancer Sysclean.com et récupérer les fichiers extraits lors de son fonctionnement
  3. Puis les copier dans un nouveau répertoire (nommé usbin dans cet exemple) à la racine de la clé
  4. Télécharger les signatures TrendMicro ainsi que RemoveDrive, et les placer également dans le répertoire « usbin » précédemment créé
  5. Créer un nouveau fichier texte (nommé Clean&Escape.bat dans cet exemple) à la racine de la clé et l’éditer de la manière suivante:
REM Déclaration de la variable définissant la lettre assignée à la clé
set usbdrive=%cd%
REM Lancement de l'analyse de la clé en mode console
usbinsysclean.exe /NOGUI %usbdrive% 
REM Démontage propre du système de fichier. 
REM L'argument "." est utilisé afin que le programme s'auto-duplique temporairement en évitant ainsi le problème de verrouillage du système de fichier.
usbinRemoveDrive.exe .

 

2.